Datenschutz vs. Datennutzen

Eine Studie des Fraunhofer-Instituts für Intelligente Analyse- und Informationssysteme (IAIS) von 2012 bringt das Innovationspotenzial von Big-Data-Anwendungen auf den Punkt: Demnach kämen Unternehmen dank Big-Data-Anwendungen zu „Vorsprung durch Wissen“. Unternehmensinterne und externe Daten rund um das Verhalten von Kunden und potentiellen Kunden zu analysieren, lohnt sich. Die meistgenannten Anwendungsfälle sind die Prognose der Werbewirksamkeit und der potentiellen Verkäufe sowie die Mikrosegmentierung, gefolgt vom Monitoring von Markenwahrnehmung, Wettbewerben, Marktpreisen und Kaufinteressenten im Web sowie die Analyse von Besucherströmen vor Ort. An dritter Stelle werden die automatische Preissetzung, die Kündigungsanalyse, die personalisierte Kundenansprache sowie die marktnahe Produktentwicklung genannt. Die Ziele des Einsatzes von Big-Data-Anwendungen sind der Aufbau strategischer Wettbewerbsvorteile, die Steigerung der Umsätze und die Einsparung der Kosten.

Aktuellere Untersuchungen wie beispielsweise die Studie „Big Data Use Cases 2015“ des Business Application Research Center (BARC) bestätigen, dass die Kundenanalyse der häufigste Grund für die Planung oder Durchführung einer Big-Data-Initiative in Unternehmen ist. Obwohl die genaue Zielsetzung und die Wirksamkeit des einzelnen Anwendungsfalles von Branche zu Branche abweichen, bleibt eines im Fokus: Die möglichst genaue Analyse des Verhaltens von bestehenden und potentiellen Kunden – und damit auch die Analyse von öffentlich zugänglichen oder käuflichen Personendaten. Die Verwendung dieser Daten durch Unternehmen ist jedoch durch den Gesetzgeber zumindest indirekt eingeschränkt.

Gesetzliche Grundlagen
Das österreichische Datenschutzgesetz (DSG 2000) normiert das Grundrecht auf Datenschutz. Demnach hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.

In den einfachgesetzlichen Bestimmungen des DSG 2000 werden insbesondere die Verwendung von Daten, die Datensicherheit, die Publizität der Datenanwendungen, die Rechte des Betroffenen, der Rechtschutz, die Kontrollorgane, die besonderen Verwendungszwecke von Daten, Videoüberwachung sowie Strafbestimmungen normiert.
Die Grundsätze für Verwendung von Daten sehen vor, dass Daten nur nach Treu und Glauben und nur auf rechtmäßige Weise verwendet werden dürfen; nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden dürfen. Der Grundsatz der sachlichen Richtigkeit bedeutet, dass Daten, die zum Beispiel ermittelt oder gespeichert werden, inhaltlich richtig ermittelt oder gespeichert werden. Die betroffenen Personen, deren Daten gespeichert werden, haben ein ausdrückliches Recht auf Richtigstellung ihrer Daten. Daten dürfen nur übermittelt werden, wenn sie aus einer zulässigen Datenanwendung stammen und der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis, soweit diese nicht außer Zweifel steht, im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.

Die Bestimmungen zur Datensicherheit stellen sicher, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung oder vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten unbefugt nicht zugänglich sind.

Die meisten dieser Grundsätze sind für Unternehmen, die Big-Data-Analysen in Bezug auf Kundendaten durchführen, relevant. Dies, obwohl die meisten modernen Verfahren und die Angebote spezialisierter Firmen über gute Anonymisierungsmechanismen verfügen. Bereits einfachste Kombinationen von Merkmalen lassen jedoch Rückschlüsse auf einzelne Personen zu, wie verschiedene Untersuchungen gezeigt haben. Im konkreten Einzelfall hat jedes Unternehmen zu beurteilen, ob die Menge der durch die Big-Data-Analyse ausgewerteten Daten ausreicht, um eine Person zu bestimmen. In diesem Fall unterliegt die Verarbeitung der Daten dem Gesetz, d. h. das Unternehmen sollte die Einhaltung der gesetzlichen Vorgaben sicherstellen. Im Zweifelsfall ist der Sachverhalt mit der Rechtsabteilung oder einem spezialisierten Anwaltsbüro zu prüfen.

Das Privacy Paradoxon
Die Untersuchung „Big Data und Datenschutz“ des deutschen Handelsblatt Research Institute aus dem Jahr 2013 weist auf einen interessanten Widerspruch hin, was die Bereitschaft der Kunden, persönliche Daten weiterzugeben, betrifft. So wünscht sich die Mehrheit der Befragten auf der einen Seite einen besseren Datenschutz und misstraut Behörden und Firmen, was die Verwendung persönlicher Daten betrifft. Andererseits war im Rahmen eines Experimentes die Mehrheit der Personen bereit, persönliche Daten preiszugeben, falls sie dafür direkt oder indirekt entschädigt werden. Dieses Phänomen wird „Privacy Paradoxon“ genannt. In Zahlen ausgedrückt bedeutet es, dass gemäss Umfrage nur 12 Prozent der Kunden bereit waren, Angaben zu persönlichen Vorlieben zu machen, im Experiment waren es jedoch 98 Prozent. Dasselbe Bild ergab sich für die Herausgabe von Kontaktdaten (7 Prozent in der Umfrage vs. 88 Prozent im Experiment). Für Unternehmen bedeutet dies, dass bestehende Kunden oder auch potentielle Kunden sehr wohl bereit sind, die Verarbeitung von Personendaten zuzulassen. Das Unternehmen muss über die Einhaltung der gesetzlichen Regelungen hinaus also dafür sorgen, dass die Kunden die Möglichkeit haben, den Nutzen der Big-Data-Analysen nachzuvollziehen und allenfalls sogar davon zu profitieren. Das bedeutet, dass die heute gängige Praxis der einmaligen Einwilligung oder auch Einverständniserklärung im Rahmen AGBs oder die eher seltenere Praxis spezieller vertraglichen Nutzungsbeschränkungen verfeinert wird. Transparenz und aktive Informationspolitik sind gefragt, damit der Nutzer als „Datenlieferant“, wie es der ehemalige Schweizer Datenschützer Hanspeter Thür formuliert hat, ein integraler Bestandteil der Wertschöpfungskette eines Unternehmens wird.

Das Datenschutzschild
Unternehmen, die Daten mit anderen Ländern und im Speziellen mit der USA austauschen – beispielsweise, wenn eine Cloud basierte Lösung eingesetzt wird oder wenn Zweigstellen in verschiedenen Ländern tätig sind –, sind im Moment mit einer besonderen Problematik konfrontiert: dem Datenschutzschild (Privacy Shield). Dieses Abkommen ist nach dem Urteil des Europäischen Gerichtshofs der Nachfolger des Safe-Harbor-Abkommens, welches die Bekanntgabe von Personendaten in die USA regelte. Seit dem 1. August 2016 können europäische Unternehmen das Privacy Shield als Regelung zwischen der EU und den USA nutzen. Für Schweizer Unternehmen gilt dies allerdings (noch) nicht. Sie sind damit gegenüber der europäischen Konkurrenz im Nachteil. Das SECO ist jedoch gemäss eigenen Angaben dabei, ein entsprechendes Abkommen mit den USA auszuhandeln. Für Unternehmen gilt es im Einzelfall zu prüfen, ob der momentanen Rechtsunsicherheit mit geeigneten Massnahmen entgegengewirkt werden kann.

Neben dem Datenschutz sind durch die Nutzung von Big-Data-Datensammlungen weitere rechtliche Aspekte betroffen, beispielsweise bei der Übernahme von fremden Daten über die reine Auswertung hinaus. Da könnte eine unlautere Leistungsübernahme vorliegen, die durch das Wettbewerbsrecht definiert wird. Oder es könnte der urheberrechtliche Schutz von Inhalten betroffen sein. Experten wie Prof. Dr. Rolf Weber, Ordinarius für Privat-, Wirtschafts- und Europarecht an der Universität Zürich, weisen darauf hin, dass durch die Verbreitung von Big-Data-Anwendungen in Zukunft weitere rechtliche Aspekte neu zu beurteilen seien, so etwa die Ausweitung der gesetzlichen Bestimmungen von Persönlichkeitsdaten auf Sachdaten, da durch Big Data immer mehr Sachdaten einen Persönlichkeitsbezug aufweisen. Ein Unternehmen ist in Zukunft gut beraten, im Zweifelsfalle beim Start einer umfangreicheren Big-Data-Initiative erfahrene Experten hinzuzuziehen, um rechtliche Komplikationen zu vermeiden. 

Über den Autor
Christoph Höinghaus ist seit 2013 CEO von Trivadis, der führenden IT-Dienstleisterin im DACH-Raum. Er ist Diplom-Betriebswirt und hat an der HTW Chur einen MBA-Abschluss erworben. www.trivadis.com